Threat Intel IP Feeds
收藏github2026-04-08 更新2026-04-10 收录
下载链接:
https://github.com/ziyadnz/threat-intel-ip-feeds
下载链接
链接失效反馈官方服务:
资源简介:
每小时更新的防火墙就绪IP阻止列表,汇集自21个威胁情报源。包含约120,000多个独特的恶意IP地址,经过去重和验证,可直接导入使用。
An hourly-updated firewall-ready IP block list aggregated from 21 threat intelligence sources. It contains approximately 120,000+ unique malicious IP addresses that have undergone deduplication and validation, and is ready for direct import and use.
创建时间:
2026-04-04
原始信息汇总
威胁情报IP源数据集概述
数据集基本信息
- 数据集名称:Threat Intel IP Feeds
- 数据集描述:每小时更新的防火墙就绪IP阻止列表,聚合自21个威胁情报源。包含约120,000+个唯一的恶意IP地址,经过去重、验证,可立即导入使用。
- 更新频率:每小时
- 许可证:MIT
- 最后更新:由GitHub徽章指示(具体日期未在README中提供)
- 构建状态:每小时运行
主要数据文件
| 文件 | 格式 | 用途 |
|---|---|---|
maliciousIPv4.txt |
原始IP地址,每行一个 | 防火墙/外部动态列表导入 |
ipv4_blacklist.txt |
IP地址 + 元数据头 | 分析/审计 |
ipv6_blacklist.txt |
IPv6地址 + CIDR | 支持IPv6的系统 |
blacklist_full.json |
完整JSON数据集 | API/编程使用 |
run_report.md |
每次运行的详细报告 | 运行诊断 |
health_report.md |
源健康报告 | 监控 |
cache/ |
源缓存目录 | 故障安全数据 |
数据源(21个源)
| 源 | 类型 | 地区 | 注册要求 |
|---|---|---|---|
| Spamhaus DROP / DROPv6 | CIDR阻止列表 | 全球 | 无 |
| Feodo Tracker (abuse.ch) | 僵尸网络C2 | 全球 | 无 |
| DShield / SANS ISC | 情报源 | 全球 | 无 |
| Blocklist.de (7 categories) | 攻击IP地址 | 全球 | 无 |
| CINS Army | 威胁列表 | 全球 | 无 |
| Emerging Threats | 被入侵IP地址 | 全球 | 无 |
| BinaryDefense | Artillery禁止 | 全球 | 无 |
| GreenSnow | 威胁列表 | 全球 | 无 |
| Tor Exit Nodes | 匿名器 | 全球 | 无 |
| Stamparm IPsum | 多源聚合 | 全球 | 无 |
| USOM | 政府威胁源 | 土耳其 | 无 |
| RTBH | 国家阻止列表 | 土耳其 | 无 |
| AbuseIPDB | 众包报告 | 全球 | 免费API密钥 |
| AlienVault OTX | Pulse指标 | 全球 | 免费API密钥 |
核心特性
- 聚合与去重:从21个威胁情报源聚合数据,去除重复IP地址。
- 数据验证:对IP地址进行验证。
- 防火墙就绪:输出格式可直接导入防火墙、SIEM等工具。
- 土耳其特定源:包含USOM和RTBH这两个通常不在全球聚合器中的土耳其源。
可靠性保障机制
| 机制 | 功能 |
|---|---|
| 错误隔离 | 每个源独立运行,一个源的故障不影响其他20个源 |
| 缓存回退 | 失败时使用output/cache/中最后一次成功的数据 |
| 自动重试 | 失败请求重试3次,采用指数退避策略 |
| 速率限制保护 | AbuseIPDB:每天最多5次API调用,最小间隔4小时 |
| 回滚保护 | 如果成功率低于20%,则保留现有输出文件不被覆盖 |
| 健康跟踪 | source_health.json记录每次运行情况 |
| 陈旧检测 | 标记30天以上无数据的源 |
| GitHub问题警报 | 故障时自动创建问题,恢复时自动关闭 |
| 退出代码 | 0 = 正常,1 = 部分失败(输出已写入),2 = 严重(输出已保留) |
使用方式
- 直接使用:通过URL
https://raw.githubusercontent.com/ziyadnz/threat-intel-ip-feeds/main/output/maliciousIPv4.txt导入支持工具。 - 自托管:克隆仓库并运行
python main.py。 - 自动化:可通过cron作业实现每小时自动更新。
支持的工具与平台
- FortiGate
- Palo Alto
- iptables
- nftables
- fail2ban
- Suricata / Snort
- Splunk / QRadar / Wazuh / ELK
- Python
搜集汇总
数据集介绍
构建方式
在网络安全领域,威胁情报的时效性与准确性至关重要。Threat Intel IP Feeds 数据集通过聚合21个公开威胁情报源,构建了一个动态更新的恶意IP地址列表。该数据集采用并行采集架构,每小时自动执行数据收集流程,每个情报源独立运行以确保错误隔离。采集过程中实施三重重试机制与指数退避策略,应对网络波动;若源数据获取失败,系统自动回退至本地缓存,避免数据丢失。所有IP地址经过去重与验证处理,最终生成纯净的IPv4与IPv6地址列表,并附带完整的元数据与运行报告,形成结构化的威胁情报资源。
特点
该数据集的核心特征体现在其高度的实用性与可靠性设计。数据集每小时自动更新,确保威胁情报的实时性;涵盖约12万个独立恶意IP地址,覆盖全球范围并特别包含土耳其特有的威胁源(USOM、RTBH),弥补了多数全球聚合列表的地域盲点。数据以多种格式提供,包括可直接导入防火墙的纯文本列表、带元数据的分析文件以及完整的JSON数据集,满足不同安全工具的需求。内置的缓存系统与健康追踪机制保障了服务的连续性,即使部分情报源暂时失效,仍能通过历史缓存维持列表完整性,同时通过GitHub问题自动告警实现运维透明化。
使用方法
该数据集设计为即插即用的威胁情报源,用户可通过简单的URL引用集成至各类安全基础设施。对于防火墙设备(如FortiGate、Palo Alto),只需将提供的原始文本URL配置为外部动态列表,并设置每小时更新策略,即可自动拦截列表中的恶意IP地址。在开源安全工具链中,用户可通过命令行直接获取列表并注入iptables、nftables或Suricata等系统,实现网络层拦截;也可通过Python等编程语言调用数据接口,进行自定义威胁分析。数据集同时提供完整的自托管方案,支持通过API密钥增强数据采集,并附有详细的运行报告与健康监测功能,便于企业级部署与运维监控。
背景与挑战
背景概述
在网络威胁情报领域,实时更新的恶意IP地址库对于网络安全防御体系具有关键价值。Threat Intel IP Feeds数据集由独立安全研究人员ziyadnz创建并维护,其核心研究问题在于如何高效聚合多源威胁情报,为防火墙、入侵检测系统等安全设备提供即插即用的恶意IP封锁清单。该数据集通过整合全球21个权威威胁情报源,包括Spamhaus、Feodo Tracker等知名平台,并创新性地纳入土耳其政府特有的USOM和RTBH威胁源,实现了每小时更新的动态防护能力。其采用去重验证机制处理的12万余个独立恶意IP地址,为网络安全运营提供了标准化、自动化的威胁情报输入,显著提升了威胁响应的时效性和覆盖范围。
当前挑战
该数据集致力于解决网络安全领域恶意IP动态封锁的挑战,其核心难点在于威胁情报的时效性、准确性与完整性的平衡。恶意IP地址具有高度动态变化的特性,僵尸网络指挥节点常采用快速切换IP的策略逃避封锁,这就要求数据集必须实现近实时更新机制。在构建过程中面临多重技术挑战:多源数据格式异构性要求开发统一的解析引擎,免费情报源的访问频率限制需要通过缓存策略优化,而数据去重验证算法需在保证准确性的同时维持处理效率。此外,跨国威胁情报的司法管辖权差异导致部分区域数据获取受限,数据集通过纳入地域性威胁源部分缓解了这一矛盾。
常用场景
经典使用场景
在网络安全领域,威胁情报的实时性与准确性对于防御体系的构建至关重要。Threat Intel IP Feeds数据集通过聚合21个威胁情报源,每小时更新并整合约12万个恶意IP地址,为网络安全设备提供即插即用的阻断列表。该数据集以纯文本格式输出,每行一个IP或CIDR地址,无需额外解析,可直接导入防火墙、入侵检测系统或安全信息与事件管理平台,实现自动化威胁拦截。其经典使用场景在于为网络边界防护提供动态更新的恶意IP黑名单,有效降低来自已知威胁源的攻击风险。
实际应用
在实际网络运营中,该数据集可直接应用于企业级安全防护体系。例如,通过FortiGate或Palo Alto防火墙的外部动态列表功能,管理员可将该数据集配置为实时更新的威胁源,自动阻断来自黑名单IP的入站与出站连接。此外,该数据集还可集成于Suricata、Snort等入侵检测系统,生成对应的丢弃规则;或作为Splunk、ELK等日志分析平台的情报输入,用于关联分析安全事件。这些应用显著提升了网络防御的主动性与响应速度。
衍生相关工作
围绕该数据集衍生的经典工作主要集中于威胁情报的扩展应用与优化。例如,基于其提供的恶意IP列表,研究者开发了针对特定攻击类型(如僵尸网络C2通信、勒索软件传播)的专项检测模型。同时,该数据集的缓存与容错机制启发了高可用威胁情报分发系统的设计,确保在源数据失效时仍能维持防护效力。此外,其结构化输出格式(如JSON)促进了威胁情报自动化处理框架的发展,使得安全编排与自动化响应平台能够更高效地集成多源情报数据。
以上内容由遇见数据集搜集并总结生成
